Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel applica le funzionalità di Security Copilot nel portale di Azure per creare riepiloghi arricchiti degli eventi imprevisti, fornendo una panoramica completa degli eventi imprevisti di sicurezza consolidando le informazioni provenienti da più avvisi. Questa funzione migliora l'efficienza della risposta agli incidenti offrendo un riepilogo chiaro che aiuta i team delle operazioni di sicurezza a comprendere rapidamente la portata e l'impatto di un incidente. Fornisce una panoramica strutturata, che include le tempistiche, le risorse coinvolte e gli indicatori di compromissione, insieme ad arricchimenti come il rischio utente, il rischio del dispositivo e la corrispondenza delle watchlist. Questi riepiloghi suggeriscono un percorso di indagine per gli analisti per valutare la portata e l'impatto di un attacco. Per altre informazioni, vedere Esplorare, valutare e gestire gli eventi imprevisti di Microsoft Sentinel nel portale di Azure.
Se è stato eseguito l'onboarding di Microsoft Sentinel nel portale di Defender, è possibile passare direttamente allo stesso evento imprevisto nel portale di Defender e seguire le procedure di indagine guidata. Per altre informazioni, vedere Valutare e analizzare gli eventi imprevisti con le risposte guidate da Security Copilot in Microsoft Defender.
Questa guida illustra cosa aspettarsi e come accedere alla funzionalità di riepilogo di Copilot in Microsoft Sentinel, incluse le informazioni su come fornire feedback.
Importante
La funzionalità di riepilogo degli eventi imprevisti di Copilot per Microsoft Sentinel è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Sapere prima di iniziare
Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con esso leggendo questi articoli:
- Che cos'è Microsoft Security Copilot?
- Esperienze di Microsoft Security Copilot
- Introduzione a Microsoft Security Copilot
- Informazioni sull'autenticazione in Microsoft Security Copilot
- Richiesta in Microsoft Security Copilot
Integrazione di Security Copilot con Microsoft Sentinel
La funzionalità di riepilogo degli eventi imprevisti è disponibile in Microsoft Sentinel nel portale di Azure per i clienti che hanno effettuato il provisioning dell'accesso a Security Copilot.
Questa funzionalità è disponibile anche nel portale di Defender e nell'esperienza autonoma di Security Copilot tramite i plug-in di Microsoft Sentinel. Altre informazioni sui plug-in preinstallati in Security Copilot.
Funzionalità principali
Gli eventi imprevisti contenenti fino a 100 avvisi possono essere riepilogati in un unico riepilogo degli eventi imprevisti. Un riepilogo degli eventi imprevisti, a seconda della disponibilità dei dati, include quanto segue:
- Ora e data di inizio di un attacco.
- Entità o asset in cui è iniziato l'attacco.
- Riepilogo delle sequenze temporali di come si è svolto l'attacco.
- Asset coinvolti nell'attacco.
- Indicatori di compromissione (IOC).
- Nomi degli attori delle minacce coinvolti.
- Rischio e criticità dell'utente.
- Rischio e criticità del dispositivo.
- Partite della watchlist.
Copilot genera automaticamente un riepilogo dell'incidente quando si apre la pagina dell'incidente. Il riepilogo dell'evento imprevisto viene visualizzato nella parte superiore del riquadro dei dettagli della pagina dell'evento imprevisto, prima della descrizione.
Seleziona Mostra altro per espandere il riepilogo e visualizzarne il contenuto completo.
Suggerimento
È possibile passare a un file, IP o pagina URL dal riquadro dei risultati di Copilot facendo clic sull'evidenza nei risultati.
Esaminare il riepilogo e usare le informazioni per guidare l'indagine e la risposta all'incidente.